“網(wǎng)絡(luò)大流感”Apache Log4j2漏洞來(lái)襲“云上企業(yè)”如何應(yīng)對(duì)����?
每日經(jīng)濟(jì)新聞
2022-01-12 22:31:00
◎利用難度低、攻擊成本低�����,意味著近期針對(duì)Apache Log4j2漏洞的攻擊行為將還會(huì)持續(xù)一段時(shí)間�����,這將是一場(chǎng)“網(wǎng)絡(luò)安全大流感”�。
◎目前即使是高度自動(dòng)化的云原生安全方案,也無(wú)法做到完全自主自治�,仍然需要合格的云安全服務(wù)專業(yè)團(tuán)隊(duì)參與。
每經(jīng)記者 朱成祥 每經(jīng)編輯 梁梟
對(duì)于大部分互聯(lián)網(wǎng)用戶而言��,Apache(阿帕奇)Log4j2是個(gè)陌生的詞匯��。但在很多程序員眼中��,它卻是陪伴自己的好伙伴,每天用于記錄日志�。然而,恰恰是這個(gè)被無(wú)數(shù)程序員每天使用的組件出現(xiàn)漏洞了��。這個(gè)漏洞危害之大����,甚至可能超過(guò)“永恒之藍(lán)”。
安恒信息高級(jí)應(yīng)急響應(yīng)總監(jiān)季靖評(píng)價(jià)稱:“(Apache Log4j2)降低了黑客攻擊的成本�����,堪稱網(wǎng)絡(luò)安全領(lǐng)域20年以來(lái)史詩(shī)級(jí)的漏洞�����。”有業(yè)內(nèi)人士還認(rèn)為�����,這是“現(xiàn)代計(jì)算機(jī)歷史上最大的漏洞”���。
工信部于2021年12月17日發(fā)文提示風(fēng)險(xiǎn):“阿帕奇Log4j2組件存在嚴(yán)重安全漏洞……該漏洞可能導(dǎo)致設(shè)備遠(yuǎn)程受控,進(jìn)而引發(fā)敏感信息竊取���、設(shè)備服務(wù)中斷等嚴(yán)重危害���,屬于高危漏洞����。”
就連國(guó)家政府部門也中招了���。2021年12月下旬���,比利時(shí)國(guó)防部承認(rèn)他們?cè)馐芰藝?yán)重的網(wǎng)絡(luò)攻擊,該攻擊基于Apache Log4j2相關(guān)漏洞��,網(wǎng)絡(luò)攻擊導(dǎo)致比利時(shí)國(guó)防部包括郵件系統(tǒng)在內(nèi)的一些業(yè)務(wù)癱瘓�����。
此漏洞“威力”之大��,連國(guó)家信息安全也受到波及�����。那么普通企業(yè)���,特別是采用云服務(wù)的企業(yè)應(yīng)該如何應(yīng)對(duì)呢���?疫情發(fā)生以來(lái)��,大量企業(yè)�、機(jī)構(gòu)加速數(shù)字化進(jìn)程����,成為“云上企業(yè)”。傳統(tǒng)環(huán)境下�,企業(yè)對(duì)自身的安全體系建設(shè)擁有更多掌控權(quán),完成云遷移后���,這些企業(yè)的云安全防護(hù)是否到位?
二十年一遇安全漏洞來(lái)襲:將成“網(wǎng)絡(luò)大流感”
2021年12月9日深夜��,Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞攻擊爆發(fā)���,一時(shí)間各大互聯(lián)網(wǎng)公司“風(fēng)聲鶴唳”����,許多網(wǎng)絡(luò)安全工程師半夜醒來(lái)�����,忙著修補(bǔ)漏洞。“聽說(shuō)各大廠程序員半夜被叫起來(lái)改�����,不改完不讓下班���。”相關(guān)論壇也對(duì)此事議論紛紛����。
為何一個(gè)安全漏洞的影響力如此之大���?安永大中華區(qū)網(wǎng)絡(luò)安全與隱私保護(hù)咨詢服務(wù)主管合伙人高軼峰認(rèn)為:“影響廣泛�����、威脅程度高��、攻擊難度低��,使得此次Apache Log4j2漏洞危機(jī)備受矚目����,造成了全球范圍的影響。”
“Log4j2是開源社區(qū)阿帕奇(Apache)旗下的開源日志組件�����,被全世界企業(yè)和組織廣泛應(yīng)用于各種業(yè)務(wù)系統(tǒng)開發(fā)”���,季靖表示����,“據(jù)不完全統(tǒng)計(jì)�,漏洞爆發(fā)后72小時(shí)之內(nèi),受影響的主流開發(fā)框架都超過(guò)70個(gè)���。而這些框架��,又被廣泛使用在各個(gè)行業(yè)的數(shù)字化信息系統(tǒng)建設(shè)之中��,比如金融、醫(yī)療��、互聯(lián)網(wǎng)等等�。由于許多耳熟能詳?shù)幕ヂ?lián)網(wǎng)公司都在使用該框架,因此阿帕奇Log4j2漏洞影響范圍極大�����。”
除了應(yīng)用廣泛之外,Apache Log4j2漏洞被利用的成本相對(duì)而言也較低���,攻擊者可以在不需要認(rèn)證登錄這種強(qiáng)交互的前提下����,構(gòu)造出惡意的數(shù)據(jù)����,通過(guò)遠(yuǎn)程代碼對(duì)有漏洞的系統(tǒng)執(zhí)行攻擊。并且�,它還可以獲得服務(wù)器的最高權(quán)限,最終導(dǎo)致設(shè)備遠(yuǎn)程受控���,進(jìn)一步造成數(shù)據(jù)泄露����,設(shè)備服務(wù)中斷等危害����。
不僅僅攻擊成本低,而且技術(shù)門檻也不高�����。不像2017年爆發(fā)的“永恒之藍(lán)”,攻擊工具利用上相對(duì)復(fù)雜��?�;贏pache Log4j2漏洞的攻擊者��,可以利用很多現(xiàn)成的工具���,稍微懂點(diǎn)技術(shù)便可以構(gòu)造更新出一種惡意代碼���。
利用難度低、攻擊成本低���,意味著近期針對(duì)Apache Log4j2漏洞的攻擊行為將還會(huì)持續(xù)一段時(shí)間����,這將是一場(chǎng)“網(wǎng)絡(luò)安全大流感”�����。
“云上企業(yè)”如何防護(hù)���?
傳統(tǒng)模式下��,安全人員可以在本地檢測(cè)�、打補(bǔ)丁�、修復(fù)漏洞。相對(duì)于傳統(tǒng)模式�����,“云上企業(yè)”使用的是云計(jì)算���、云存儲(chǔ)服務(wù)等�,沒(méi)有自己的機(jī)房和服務(wù)器����。進(jìn)入云環(huán)境,安全防護(hù)的“邊界”不復(fù)存在����,對(duì)底層主機(jī)的控制權(quán)限也沒(méi)有本地那么多,同時(shí)還多一層虛擬化方面的攻擊方式����。
特別是疫情影響下�����,大量企業(yè)�����、機(jī)構(gòu)開啟數(shù)字化轉(zhuǎn)型��,從本地服務(wù)器遷徙到云服務(wù)器�。短時(shí)間內(nèi)完成云遷移���,企業(yè)很可能缺乏對(duì)應(yīng)的云安全管理能力成熟度�����;同時(shí)�,往往也面臨著安全能力不足�����、專業(yè)人手緊缺等情況���。
面對(duì)這場(chǎng)史詩(shī)級(jí)的漏洞危機(jī)�,“云上企業(yè)”應(yīng)該如何應(yīng)對(duì)呢?
在安恒信息高級(jí)產(chǎn)品專家蓋文軒看來(lái):“企業(yè)上云之后���,傳統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)依然存在,此外��,還會(huì)面臨新的安全風(fēng)險(xiǎn)�����,比如用戶與云平臺(tái)之間安全責(zé)任邊界劃分等問(wèn)題��。另外��,傳統(tǒng)的硬件設(shè)備可能不適用于云環(huán)境����,因此需要針對(duì)特殊情況部署相關(guān)安全服務(wù)。”
而在安永大中華區(qū)科技風(fēng)險(xiǎn)咨詢服務(wù)合伙人趙劍澐看來(lái):“面對(duì)快速上云��,企業(yè)急需搭建滿足自身業(yè)務(wù)發(fā)展與管理要求的安全保障體系���。”
那么��,對(duì)于這些“云上企業(yè)”�����,究竟是選擇云服務(wù)商提供的原生安全服務(wù)�,還是另尋第三方專業(yè)的安全服務(wù)商呢?
事實(shí)上�,目前即使是高度自動(dòng)化的云原生安全方案,也無(wú)法做到完全自主自治���,仍然需要合格的云安全服務(wù)專業(yè)團(tuán)隊(duì)參與����。高軼峰強(qiáng)調(diào)����,對(duì)于中小型企業(yè),選擇滿足資質(zhì)的第三方專業(yè)安全機(jī)構(gòu)�����,能夠保證服務(wù)的獨(dú)立性�,保障工作順利開展及服務(wù)質(zhì)量。
封面圖片來(lái)源:攝圖網(wǎng)-500345682
